CN115065547A - 一种物联网终端风险评估的方法及装置 - Google Patents

Abstract

一种物联网终端风险评估的方法及装置涉及信息技术领域，本发明由运营商上报数据采集器、终端信息集合器、原生风险识别模块、动态风险识别模块、分级风险识别模块和综合风险计算器组成；原生风险识别模块由漏洞识别器和明文识别器组成；动态风险识别模块由受控风险识别器、网络攻击识别器和有害程序识别器组成；分级风险识别模块由服务对象识别器、应用场景识别器、敏感度识别器组成；接入物联网终端的漏洞信息数据、物联网流量话单和安全事件数据，并依据物联网终端的使用场景全面的评估物联网终端的安全风险。

Description

一种物联网终端风险评估的方法及装置

技术领域

本发明涉及信息技术领域，尤其涉及物联网终端的安全评估技术。

背景技术

随着第五代移动通信技术正式商用，在政策、市场双重驱动下，物联网行业进行了创新发展期，物联网终端规模也随之高速发展，然而物联网终端安全事件频发，安全隐患凸显，安全形式严峻。物联网终端被破环、被控制、被攻击，不仅影响引用服务的安全稳定，导致隐私数据泄漏、生命财产安全受损，更会危害网络关键基础设施，威胁国家安全。加强物联网终端的风险评估，对提升物联网安全水平，促进物联网及其生态系统的健康发展有着重要意义。

目前物联网终端风险评估多是识别物联网终端自身存在的安全风险，属于静态风险，缺少动态风险评估。同时缺少物联网终端使用场景的分析，很难在海量的数据中识别出来存在高风险的物联网终端。

通常，对物联网终端的风险评估多是采用逆向分析固件缺陷和业务逻辑漏洞方式，获取物联网终端风险评估数据，对物联网终端原生风险进行评估。然而在物联网终端运行过程中，无法从网络攻击和攻击后带来的后果的角度出发对物联网终端进行安全风险分析评估，导致风险评估结果存在局限性。

一种物联网终端风险评估的方法及装置采用静态风险、动态风险和分级风险相结合的方式，通过接入物联网终端的漏洞信息数据、物联网流量话单和安全事件数据，可动静结合的方式识别物联网终端存在的安全风险，并依据物联网终端的使用场景全面的评估物联网终端的安全风险，提供风险预警。

用到的现有技术说明

终端TAC，指型号分配码。TAC可识别设备型号、商标所有者和生产厂商，TAC核发给商标所有者的特定型号产品使用；一个TAC仅分配给一个产品型号使用，每一款产品型号都应申请新的TAC，TAC是IMEI的前八位，一个TAC可生成100万个IMEI，100万个IMEI使用完后，须申请新的TAC。

IMEI 是国际移动设备识别码，3GPP设备必须写入IMEI，IMEI可识别每一款终端产品的型号、商标和制造商每一个IMEI必须全球唯一，IMEI写入应进行安全设置，防止被篡改，IMEI的前八位数字为TAC；生产的每一台设备写入渐进式IMEI序号，单收发器的多卡设备使用一个IMEI，同时支持3GPP和3GPP2的设备可使用一个IMEI，多收发器设备应使用多个IMEI，不可重复使用IMEI，一个TAC号段剩余的IMEI禁止给其它产品型号使用安全IMEI设置可防止IMEI被篡改，更换外围元器件，不影响IMEI使用，更换包含安全储存IMEI的元器件，需要使用新IMEI。

国家信息安全漏洞共享平台，简称CNVD，国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力，带动国内相关安全产品的发展。

CVE是公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

APN即接入点名称，无论使用联通3G还是移动2G网络，都必须通过手机APN设置，是手机上网时必须配置的参数。APN决定了用户手机通过哪种接入方式来访问移动网络。根据接入点名称，可以确定在分组数据链接中提供什么服务。这些服务可能包括：公众互网的链接；到WAP的连接，以转发互联上的网页；提供短消息；多媒体业务。

通过查询TAC数据库可以获取终端设备的商标信息和终端设备的销售对象信息。IMEI数据库是全球唯一完整的TAC（IMEI前八位）数据库，其TAC数据仅对审核机构、运营商、海关等机构公开，目前尚未开放任何在线查询TAC信息的渠道。官方下发的TAC证明文件是提供给企业的唯一凭证，每个企业仅可查看自己的TAC数据。

发明内容

鉴于现有技术的不足，本发明提供的一种物联网终端风险评估的方法及装置由运营商上报数据采集器、终端信息集合器、原生风险识别模块、动态风险识别模块、分级风险识别模块和综合风险计算器组成；原生风险识别模块由漏洞识别器和明文识别器组成；动态风险识别模块由受控风险识别器、网络攻击识别器和有害程序识别器组成；分级风险识别模块由服务对象识别器、应用场景识别器、敏感度识别器组成；

运营商上报数据采集器负责收集由三大基础电信企业上报给物联网行业主管单位的运营商上报数据；运营商上报数据包括物联网终端信息、物联网终端通联日志和物联网终端安全事件；物联网终端信息包含终端TAC、终端TAC对应的设备商标信息和终端设备备案的销售对象、终端生产序号、终端类型、终端型号、终端行业类型、终端名称、操作系统和终端厂商；物联网终端通联日志包含通联开始时间、通联结束时间、终端标识、APN字段、APN与应用场景的对应关系表、目的IP和目的URL地址；物联网终端安全事件包含主机受控事件及主机受控事件分级、网络攻击事件和有害程序事件；主机受控事件分级包括高危网络攻击事件、中危网络攻击事件、低危网络攻击事件和对外攻击事件；

终端信息集合器收到运营商上报数据采集器传过来的运营商上报数据后，以运营商上报数据中的物联网终端信息为基础使用爬虫工具爬取每个物联网终端的IMEI号码；终端信息集合器将物联网终端的终端TAC和物联网终端的IMEI号码一一对应组合生成物联网终端标识；对于没有物联网终端的IMEI号码的物联网终端，终端信息集合器将物联网终端的终端TAC和物联网终端的终端生产序号一一对应组合生成物联网终端标识；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给原生风险识别模块的漏洞识别器，漏洞识别器根据物联网终端的终端TAC使用网络爬虫工具获取CNVD和CVE已经公布的公开的漏洞信息，物联网终端的终端TAC所对应的漏洞信息包括终端类型、终端型号、漏洞编号、漏洞级别、漏洞类型和漏洞名称；漏洞识别器将存在高危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数4分，漏洞识别器将存在中危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数2分，漏洞识别器将存在低危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数1分；

终端信息集合器将补充了物联网终端标识的物联网终端通联日志发送给原生风险识别模块的明文识别器，明文识别器查询物联网终端通联记录中的关键字段是否包含关键词，关键字段包括URL地址、HTTP字段、MQTT字段和COAP字段，关键词包括username和password，当明文识别器发现物联网终端通联记录中的关键字段包含关键词时，明文识别器为对应的物联网终端标识所对应的物联网终端给出明文风险分数3分；

终端信息集合器将补充了物联网终端标识的物联网终端安全事件发送给动态风险识别模块，由受控风险识别器识别物联网终端安全事件中的物联网终端受控事件，将出现过物联网终端受控事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由网络攻击识别器识别物联网终端安全事件中的物联网终端受网络攻击事件，当物联网终端遭受高危网络攻击事件时，将出现过高危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；当物联网终端遭受中危网络攻击事件时，将出现过中危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数2分；当物联网终端遭受低危网络攻击事件时，将出现过低危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数1分；当物联网终端对外发起攻击时，将出现过对外发起攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由有害程序识别器识别物联网终端安全事件中的有害程序传播事件，当发现存在有害程序传播事件时，有害程序识别器将出现过有害程序传播事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块的服务对象识别器，服务对象识别器根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字包括：可穿戴设备、公共服务、照明和摄像头；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含可穿戴设备时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含公共服务时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含照明时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含摄像头时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；

终端信息集合器将补充了物联网终端标识的物联网终端通联日志发送给分级风险识别模块的应用场景识别器，应用场景识别器对物联网终端通联日志中的目的IP使用爬虫工具采集数据，根据爬虫工具采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器通过物联网终端通联日志中的目的IP没能识别出物联网终端的场景风险时，应用场景识别器通过物联网终端通联日志中的APN字段来识别物联网终端的场景风险，对应查询运营商提供的APN与应用场景的对应关系表中的关键字，APN与应用场景的对应关系表的关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器通过物联网终端通联日志中的目的IP和物联网终端通联日志中的APN字段都没有成功识别场景风险时，应用场景识别器对物联网终端通联日志中的目的URL地址使用爬虫工具采集数据，根据爬虫工具采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块的敏感度识别器，敏感度识别器根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字分为敏感关键字、重要关键字和普通关键字；敏感关键字包括：医疗、安防、核电、工业控制；重要关键字包括：仪表；普通关键字包括：温度、湿度、浓度、环境；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含敏感关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含重要关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含普通关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数1分；

由综合风险计算器汇总物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数；综合风险计算器对每个物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数进行加权平均计算，得到每个物联网终端标识对应的综合风险值；进行加权平均计算所涉及的每种风险的权重在默认状态下为等分，根据实际情况需要修改各种风险权重时，在综合风险计算器完成各风险的权重录入。

有益效果

接入物联网终端的漏洞信息数据、物联网流量话单和安全事件数据，可动静结合的方式识别物联网终端存在的安全风险，并依据物联网终端的使用场景全面的评估物联网终端的安全风险。

附图说明

图1是本发明的系统结构图。

具体实施方式

参看图1，实现本发明提供的一种物联网终端风险评估的方法及装置由运营商上报数据采集器1、终端信息集合器2、原生风险识别模块3、动态风险识别模块4、分级风险识别模块5和综合风险计算器6组成；原生风险识别模块3由漏洞识别器30和明文识别器31组成；动态风险识别模块4由受控风险识别器40、网络攻击识别器41和有害程序识别器42组成；分级风险识别模块5由服务对象识别器50、应用场景识别器51、敏感度识别器52组成；

运营商上报数据采集器1负责收集由三大基础电信企业上报给物联网行业主管单位的运营商上报数据10；运营商上报数据10包括物联网终端信息、物联网终端通联日志和物联网终端安全事件；物联网终端信息包含终端TAC、终端TAC对应的设备商标信息和终端设备备案的销售对象、终端生产序号、终端类型、终端型号、终端行业类型、终端名称、操作系统和终端厂商；物联网终端通联日志包含通联开始时间、通联结束时间、终端标识、APN字段、APN与应用场景的对应关系表、目的IP和目的URL地址；物联网终端安全事件包含主机受控事件及主机受控事件分级、网络攻击事件和有害程序事件；主机受控事件分级包括高危网络攻击事件、中危网络攻击事件、低危网络攻击事件和对外攻击事件；

终端信息集合器2收到运营商上报数据采集器1传过来的运营商上报数据10后，以运营商上报数据10中的物联网终端信息为基础使用爬虫工具20爬取每个物联网终端的IMEI号码；终端信息集合器2将物联网终端的终端TAC和物联网终端的IMEI号码一一对应组合生成物联网终端标识；对于没有物联网终端的IMEI号码的物联网终端，终端信息集合器2将物联网终端的终端TAC和物联网终端的终端生产序号一一对应组合生成物联网终端标识；

终端信息集合器2将补充了物联网终端标识的物联网终端信息发送给原生风险识别模块3的漏洞识别器30，漏洞识别器30根据物联网终端的终端TAC使用爬虫工具20获取CNVD和CVE已经公布的公开的漏洞信息，物联网终端的终端TAC所对应的漏洞信息包括终端类型、终端型号、漏洞编号、漏洞级别、漏洞类型和漏洞名称；漏洞识别器30将存在高危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数4分，漏洞识别器30将存在中危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数2分，漏洞识别器30将存在低危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数1分；

终端信息集合器2将补充了物联网终端标识的物联网终端通联日志发送给原生风险识别模块3的明文识别器31，明文识别器31查询物联网终端通联记录中的关键字段是否包含关键词，关键字段包括URL地址、HTTP字段、MQTT字段和COAP字段，关键词包括username和password，当明文识别器31发现物联网终端通联记录中的关键字段包含关键词时，明文识别器31为对应的物联网终端标识所对应的物联网终端给出明文风险分数3分；

终端信息集合器2将补充了物联网终端标识的物联网终端安全事件发送给动态风险识别模块4，由受控风险识别器40识别物联网终端安全事件中的物联网终端受控事件，将出现过物联网终端受控事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由网络攻击识别器41识别物联网终端安全事件中的物联网终端受网络攻击事件，当物联网终端遭受高危网络攻击事件时，将出现过高危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；当物联网终端遭受中危网络攻击事件时，将出现过中危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数2分；当物联网终端遭受低危网络攻击事件时，将出现过低危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数1分；当物联网终端对外发起攻击时，将出现过对外发起攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由有害程序识别器42识别物联网终端安全事件中的有害程序传播事件，当发现存在有害程序传播事件时，有害程序识别器42将出现过有害程序传播事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；

终端信息集合器2将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块5的服务对象识别器50，服务对象识别器50根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字包括：可穿戴设备、公共服务、照明和摄像头；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含可穿戴设备时，服务对象识别器50将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含公共服务时，服务对象识别器50将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含照明时，服务对象识别器50将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含摄像头时，服务对象识别器50将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；

终端信息集合器2将补充了物联网终端标识的物联网终端通联日志发送给分级风险识别模块5的应用场景识别器51，应用场景识别器51对物联网终端通联日志中的目的IP使用爬虫工具采集数据，根据爬虫工具采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器51通过物联网终端通联日志中的目的IP没能识别出物联网终端的场景风险时，应用场景识别器51通过物联网终端通联日志中的APN字段来识别物联网终端的场景风险，对应查询运营商提供的APN与应用场景的对应关系表中的关键字，APN与应用场景的对应关系表的关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器51通过物联网终端通联日志中的目的IP和物联网终端通联日志中的APN字段都没有成功识别场景风险时，应用场景识别器51对物联网终端通联日志中的目的URL地址使用爬虫工具20采集数据，根据爬虫工具20采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器51给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

终端信息集合器2将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块5的敏感度识别器52，敏感度识别器52根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字分为敏感关键字、重要关键字和普通关键字；敏感关键字包括：医疗、安防、核电、工业控制；重要关键字包括：仪表；普通关键字包括：温度、湿度、浓度、环境；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含敏感关键字时，敏感度识别器52将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含重要关键字时，敏感度识别器52将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含普通关键字时，敏感度识别器52将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数1分；

由综合风险计算器6汇总物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数；综合风险计算器6对每个物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数进行加权平均计算，得到每个物联网终端标识对应的综合风险值；进行加权平均计算所涉及的每种风险的权重在默认状态下为等分，根据实际情况需要修改各种风险权重时，在综合风险计算器6完成各风险的权重录入。

Claims (1)

1.一种物联网终端风险评估的装置，其特征在于由运营商上报数据采集器、终端信息集合器、原生风险识别模块、动态风险识别模块、分级风险识别模块和综合风险计算器组成；原生风险识别模块由漏洞识别器和明文识别器组成；动态风险识别模块由受控风险识别器、网络攻击识别器和有害程序识别器组成；分级风险识别模块由服务对象识别器、应用场景识别器、敏感度识别器组成；

运营商上报数据采集器负责收集由三大基础电信企业上报给物联网行业主管单位的运营商上报数据；运营商上报数据包括物联网终端信息、物联网终端通联日志和物联网终端安全事件；物联网终端信息包含终端TAC、终端TAC对应的设备商标信息和终端设备备案的销售对象、终端生产序号、终端类型、终端型号、终端行业类型、终端名称、操作系统和终端厂商；物联网终端通联日志包含通联开始时间、通联结束时间、终端标识、APN字段、APN与应用场景的对应关系表、目的IP和目的URL地址；物联网终端安全事件包含主机受控事件及主机受控事件分级、网络攻击事件和有害程序事件；主机受控事件分级包括高危网络攻击事件、中危网络攻击事件、低危网络攻击事件和对外攻击事件；

终端信息集合器收到运营商上报数据采集器传过来的运营商上报数据后，以运营商上报数据中的物联网终端信息为基础使用爬虫工具爬取每个物联网终端的IMEI号码；终端信息集合器将物联网终端的终端TAC和物联网终端的IMEI号码一一对应组合生成物联网终端标识；对于没有物联网终端的IMEI号码的物联网终端，终端信息集合器将物联网终端的终端TAC和物联网终端的终端生产序号一一对应组合生成物联网终端标识；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给原生风险识别模块的漏洞识别器，漏洞识别器根据物联网终端的终端TAC使用网络爬虫工具获取CNVD和CVE已经公布的公开的漏洞信息，物联网终端的终端TAC所对应的漏洞信息包括终端类型、终端型号、漏洞编号、漏洞级别、漏洞类型和漏洞名称；漏洞识别器将存在高危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数4分，漏洞识别器将存在中危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数2分，漏洞识别器将存在低危漏洞的物联网终端标识所对应的物联网终端给出漏洞风险分数1分；

终端信息集合器将补充了物联网终端标识的物联网终端通联日志发送给原生风险识别模块的明文识别器，明文识别器查询物联网终端通联记录中的关键字段是否包含关键词，关键字段包括URL地址、HTTP字段、MQTT字段和COAP字段，关键词包括username和password，当明文识别器发现物联网终端通联记录中的关键字段包含关键词时，明文识别器为对应的物联网终端标识所对应的物联网终端给出明文风险分数3分；

终端信息集合器将补充了物联网终端标识的物联网终端安全事件发送给动态风险识别模块，由受控风险识别器识别物联网终端安全事件中的物联网终端受控事件，将出现过物联网终端受控事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由网络攻击识别器识别物联网终端安全事件中的物联网终端受网络攻击事件，当物联网终端遭受高危网络攻击事件时，将出现过高危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；当物联网终端遭受中危网络攻击事件时，将出现过中危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数2分；当物联网终端遭受低危网络攻击事件时，将出现过低危网络攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数1分；当物联网终端对外发起攻击时，将出现过对外发起攻击事件的物联网终端标识所对应的物联网终端给出动态风险分数6分；

由有害程序识别器识别物联网终端安全事件中的有害程序传播事件，当发现存在有害程序传播事件时，有害程序识别器将出现过有害程序传播事件的物联网终端标识所对应的物联网终端给出动态风险分数5分；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块的服务对象识别器，服务对象识别器根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字包括：可穿戴设备、公共服务、照明和摄像头；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含可穿戴设备时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含公共服务时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含照明时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含摄像头时，服务对象识别器将对应的物联网终端标识所对应的物联网终端给出服务对象风险分数1分；

终端信息集合器将补充了物联网终端标识的物联网终端通联日志发送给分级风险识别模块的应用场景识别器，应用场景识别器对物联网终端通联日志中的目的IP使用爬虫工具采集数据，根据爬虫工具采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器通过物联网终端通联日志中的目的IP没能识别出物联网终端的场景风险时，应用场景识别器通过物联网终端通联日志中的APN字段来识别物联网终端的场景风险，对应查询运营商提供的APN与应用场景的对应关系表中的关键字，APN与应用场景的对应关系表的关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

当应用场景识别器通过物联网终端通联日志中的目的IP和物联网终端通联日志中的APN字段都没有成功识别场景风险时，应用场景识别器对物联网终端通联日志中的目的URL地址使用爬虫工具采集数据，根据爬虫工具采集的数据进行关键字判断，根据关键字匹配原则判断物联网终端的应用场景，关键字包括重要场景敏感词、决策辅助场景敏感词和普通场景敏感词；重要场景敏感词包括：医疗、锁、安防；决策辅助场景敏感词包括：仪表、表；普通场景敏感词包括：农业、温度、湿度、浓度、环境、井盖；当关键字匹配中包含重要场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值3分；当关键字匹配中包含决策辅助场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值2分；当关键字匹配中包含普通场景敏感词时，应用场景识别器给物联网终端标识所对应的物联网终端的场景风险分数取值1分；当关键字匹配中同时包含多个关键字时，取值为所包含的关键字中对应的场景风险分数最大的取值；

终端信息集合器将补充了物联网终端标识的物联网终端信息发送给分级风险识别模块的敏感度识别器，敏感度识别器根据关键字匹配原则查询终端TAC对应的设备商标信息和终端设备备案的销售对象中的关键字，关键字分为敏感关键字、重要关键字和普通关键字；敏感关键字包括：医疗、安防、核电、工业控制；重要关键字包括：仪表；普通关键字包括：温度、湿度、浓度、环境；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含敏感关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数3分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含重要关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数2分；当终端TAC对应的设备商标信息和终端设备备案的销售对象中包含普通关键字时，敏感度识别器将对应的物联网终端标识所对应的物联网终端给出敏感度风险分数1分；

由综合风险计算器汇总物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数；综合风险计算器对每个物联网终端标识所对应的漏洞风险分数、明文风险分数、动态风险分数、服务对象风险分数、场景风险分数、敏感度风险分数进行加权平均计算，得到每个物联网终端标识对应的综合风险值；进行加权平均计算所涉及的每种风险的权重在默认状态下为等分，根据实际情况需要修改各种风险权重时，在综合风险计算器完成各风险的权重录入。

Images